Une tribune qui peut faire froid dans le dos mais qui en dit long sur l’obligation faite plus que jamais aux entreprises de se protéger…
Par Johanne Ulloa, Solution Achitect, Trend Micro France
La sécurité informatique est un art ingrat et profondément déséquilibré !
D’un côté, les DSI : des professionnels qui ont pour mission de protéger le système d’information 24/24 et 7 jours sur 7 contre toutes les formes de menaces possibles et imaginables. Et ce, en restant dans un cadre légal très strict, leur interdisant toute contre-attaque ou mesure offensive. Sans compter les contraintes de production et de disponibilité allant parfois à l’inverse de ce que la sécurité nécessiterait.
De l’autre, les cyber-délinquants : des individus susceptibles d’attaquer à tout moment, peu importent les moyens utilisés et le lieu, en s’affranchissant d’obligations légales et en profitant des failles imposées par les contraintes de production des entreprises ou engendrées par les comportements humains.
Les dés sont pipés et le combat est bien inégal…
On pourrait croire qu’avec l’arsenal défensif mis aujourd’hui à disposition des entreprises, mener des attaques est désormais réservé à une élite de hackers sur-expérimentés. Or il n’en est rien, bien au contraire !
D’abord, parce que cet arsenal conduit à l’inverse de l’objectif recherché en induisant une complexité croissante. Or la complexité, par essence coûteuse, est l’ennemi numéro 1 de la sécurité. Mieux vaut rationaliser, se focaliser sur quelques outils modernes pensés pour faciliter l’exploitation et simplifier ainsi sa défense : on ne protège bien que ce que l’on maîtrise bien.
Ensuite, parce que les attaques sont paradoxalement plus complexes à déjouer pour les DSI, mais plus faciles à conduire pour les hackers. Et ceci pour une simple et bonne raison : la cybercriminalité s’est professionnalisée et industrialisée.
Vers une industrialisation des attaques
Au fil des années, le « hacking » est passé du stade de hobby, où le challenge constituait le cœur des motivations, au stade de système organisé, où l’argent est devenu le but ultime.
De même que l’automatisation des processus a fini par engendrer la révolution industrielle en multipliant la puissance de production, l’automatisation des attaques conduit à une industrialisation des cyber-menaces. A bien y réfléchir, dès lors que la motivation première des cybercriminels n’est autre que l’appât du gain, cette industrialisation était prévisible et inévitable. Il ne s’agit au final que de mettre en place des processus à même de rendre les activités cybercriminelles plus efficientes. Des processus dont la mise en œuvre est évidemment simplifiée par le caractère nativement informatisé et hyper-connecté de l’univers dans lequel s’expriment ces activités.
Dès lors, les cyber-délinquants sont devenus de véritables professionnels mais, contrairement aux idées reçues, ils ne sont pas pour autant organisés en mafias. Ce que l’on définit ici comme « organisation » n’est en réalité qu’un réseau d’activités complémentaires engendrant un « business model » très décentralisé : il se compose de ceux qui trouvent comment exploiter les failles, ceux qui inventent les outils industrialisés pour les commercialiser à grande échelle sous forme de kits, et ceux qui achètent ces kits pour mettre en place leurs arnaques, commander des attaques massives, paralyser des serveurs, etc. ; chacun des acteurs de ce réseau pouvant se situer à n’importe quel endroit de la planète.
Il ne faut également pas perdre de vue que dans de nombreux pays touchés par la crise économique (en Europe de l’Est comme en Amérique du Sud), de brillants jeunes diplômés d’universités informatiques et mathématiques réputées se retrouvent sans emploi. Beaucoup n’ont guère d’autres ressources que de chercher dans l’illégalité des revenus et des « employeurs » à même d’exploiter leurs compétences.
Des kits d’attaques prêts à l’emploi
Ainsi donc, la majorité des menaces véhiculées par le Web sont aujourd’hui produites par des kits « clés en main » utilisables par tous, ou presque. Ils se nomment BlackHole, ProPack, Nuclear, CritXPack, Cool, et peuvent tester en quelques secondes des dizaines de vulnérabilités, non seulement du système et du navigateur, mais aussi de l’écosystème logiciel comme Java, Adobe Reader, QuickTime, Flash, Office… Le tout formant autant de portes d’entrées potentielles si les machines ne sont pas à jour (or elles ne le sont malheureusement jamais totalement !).
Certains de ces kits sont d’une déroutante simplicité. Ils bénéficient d’interfaces utilisateurs conviviales et parfois même d’un véritable support comme chez un éditeur de logiciel. Et pas besoin de chercher bien loin pour maîtriser tous ces outils : on trouve pléthore de tutoriels sur YouTube !
Et les hacktivistes dans tout ça ? On me rétorquera qu’ils ne sont ni des « cybercriminels », ni nécessairement des « professionnels » du hacking. C’est tout à fait vrai, tout du moins en ce qui concerne leurs motivations, qui ne sont pas pécuniaires. Mais les outils utilisés pour leurs offensives découlent en partie de cette industrialisation des attaques, de la simplicité de mise en œuvre d’outils génériques et automatisés comme LOIC (Low Orbit Ion Cannon), et de la facilité avec laquelle on accède à des tutoriels vidéo.
Changer d’attitude
Cette professionnalisation des cybercriminels et cette industrialisation des attaques ont un impact direct sur la façon dont on doit aujourd’hui construire ses défenses. Nos besoins défensifs ont changé car les menaces ont évolué. La volumétrie induite par l’industrialisation des menaces et l’intelligence avec laquelle sont menées les attaques ciblées nous oblige à nous rendre à l’évidence : le concept de forteresse imprenable n’est plus ! Il faut orienter sa sécurité en se disant que, oui, des compromissions vont inévitablement survenir. Ce changement de posture permet de modifier sa stratégie de défense : dites-vous que vous devez protéger un supermarché en partant du principe que le vol est inévitable. Pour réduire les risques au minimum, des moyens de défense adaptés sont mis en œuvre (caméras, barrières électroniques, vigiles, …). Il en va de même pour nos systèmes d’information !
Les vraies questions à se poser sont désormais : « Quelles sont les informations les plus vitales ? », « Comment limite-t-on les risques et les dégâts ? », « Comment rend-on le risque acceptable ? », « Que dois-je mettre en œuvre pour remédier rapidement à une attaque réussie ? », « Quels niveaux d’alertes puis-je mettre en place et qui devra y réagir ? ». Parallèlement, il faut opter pour des outils plus intelligents, capables de patcher les failles à la volée (Virtual Patching) sans perturber la production, d’analyser les comportements anormaux au travers du réseau et surtout d’offrir une bien meilleure visibilité sur ce qui se passe au sein de l’infrastructure.